Zoom Patches High-Risk Flaws in Meeting Connector, Keybase Client
2021/11/12 SecurityWeek — ビデオ・メッセージングの大手である Zoom は、リモートコード実行およびコマンド・インジェクションの攻撃に、企業ユーザーがさらされる可能性のある、深刻度の高い脆弱性に対するパッチをリリースした。
同社では、複数のセキュリティ情報を公開して注意を喚起していますが、その中でも、オンプレミス型のミーティング・コネクタと Keybase クライアントに影響を与えるハイ・リスク・のバグには、特に注意が必要とされる。
Zoom は、「影響を受ける製品の Web ポータルにあるネットワーク・プロキシのページでは、パスワードを設定するリクエスト送信による入力を検証できない。それにより、Web ポータルの管理者によるリモートからのコマンド・インジェクションが行われる可能性がある」とコメントしている。
この脆弱性 CVE-2021-34417 の CVSS 値は 7.9であり、影響を受ける Zoom コンポーネントには、Zoom On-Premise Meeting Connector Controller/Zoom On-Premise Meeting Connector MMR/Zoom On-Premise Recording Connector/Zoom On-Premise Virtual Room Connector などが含まれる。
また、深刻な脆弱性に関する速報として、Keybase Client for Windows に影響するパス・トラバーサル CVE-2021-34422 へのパッチも公開された。同社は、「Ver 5.7.0 以前の Keybase Client for Windows には、チーム・フォルダにアップロードされたファイル名を確認する際に、パス・トラバーサルが生じるという脆弱性が存在する。脅威アクターが、特別に細工したファイル名で共有フォルダにファイルをアップロードすると、ホストマシン上で意図しないアプリケーションを実行される可能性がある。悪意のユーザーが、この問題を Keybase クライアントのパブリック・フォルダ共有機能で活用した場合、リモートコード実行につながる可能性がある」と述べている。Zoom によると、この問題は 5.7.0 Keybase Client for Windows のリリースで修正されたとのことだ。
また、Zoom の Security Response Team は、Zoom Client for Meetings のインストーラーに存在する脆弱性 CVE-2021-34420 に対するパッチもリリースした。同社は、「Ver 5.5.4 以前の Zoom Client for Meetings for Windows インストーラーは、.msi/.ps1/.bat の拡張子を持つファイルの署名を適切に検証していない。それにより、顧客のコンピュータに悪意のソフトウェアがインストールされる可能性がある」と警告している。
なお、Zoom のソフトウェアには、自動アップデートの仕組みが存在しない。 したがってユーザーは、Zoom クライアント内でソフトウェア・アップデートを手動で実施することが推奨されている。
とても便利な Zoom は、いろんな局面で利用されていますね。使い方としては、ホストする人がミーティング・ルームを立ち上げ、招待された人がログインしていきますが、始まってしまったセッションに遅刻してログインする人もいれば、途中退出の人もいたりで、アカウント管理がややこしいという感じがします。文中にもあるように、自動アップデートは行われないとのことなので、クライアント・アプリの更新をしっかり行いましょう。
11月29日 追記:Zoom for Windows/macOS に自動アップデートが提供された
IoT OT Security News 